SSL-Verschlüsselung - Sicherheit

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

SSL-Verschlüsselung - Sicherheit

Beitragvon max_payne » Mo 10 Mär, 2008 17:57

Hallo

Mich würde interessieren, was die Verschlüsselung bringt.(Speziell der Aufbau eines Tunnels mit stunnel) Dass die Daten hierdurch nicht im klartext übertragen werden ist mir klar. Allerdings:
Wenn jemand mit Man-in-the-Middle, oä. daherkommt würde er doch auch den Schlüssel mitbekommen, oder?

edit: Titel geändert.....bin heute etwas müde
Zuletzt geändert von max_payne am Mo 10 Mär, 2008 18:46, insgesamt 1-mal geändert.
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon preiti » Mo 10 Mär, 2008 18:05

Kommst du mit Wikipedia auf englisch bzw. deutsch schon weiter? Die Links scheinen sehr interessant zu sein.
Soweit mir bekannt ist SSL gegen eine Man-in-the-Middle-Attake nicht anfällig, da der Tunnel im Normalfall nicht durchbrochen(weder von außen noch von innen) werden kann.
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon wicked_one » Mo 10 Mär, 2008 18:09

Der Wiki Artikel sollte dir alle deine Antworten liefern, sofern du ein bisserl dein Hirn anwirfst

asymmetrische Verschlüsselung ist ein Schlagwort

<ot>ich find ja dein Beitragstitel super... Vorteile von SSL - gegenüber was?</ot>
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon martin » Mo 10 Mär, 2008 18:38

preiti hat geschrieben:Soweit mir bekannt ist SSL gegen eine Man-in-the-Middle-Attake nicht anfällig, da der Tunnel im Normalfall nicht durchbrochen(weder von außen noch von innen) werden kann.


also in einem LAN ist es überhaupt kein problem, eine ssl verbindung von einem anderen user zu kapern.

man nehme:

1. ein programm welches arp poison routing beherrscht
2. einen sniffer (meistens in punkt 1 schon integriert)
3. ein opfer, welches beim auftretenden zertifikatsfehler brav auf ja drückt - nicht sonderlich schwer zu finden
4. schon ist man der man-in-the-middle

achtung: das ist natürlich reine theorie, gegen den "produktiven" einsatz dieser methode sprechen einige paragraphen ;)
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Beitragvon wicked_one » Mo 10 Mär, 2008 18:41

Klingt nett, wird aber in der praxis nicht so funktionieren wie du dir das vorstellst
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon max_payne » Mo 10 Mär, 2008 18:45

naja ich denk da an einen "lauschangriff" bei dem der ISP den Traffic einfach auf einen anderen Port "spiegelt"

meine Frage ist konkret: ob der Key bei jedem Tunnelaufbau oder nur beim ersten übermittelt wird.
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon wicked_one » Mo 10 Mär, 2008 18:55

http://www.tecchannel.de/news/themen/business/413770/

hier ein interessanter Artikel, datiert auf 2003. Auch andere Artikel die auf Anfälligkeiten datieren einige Jahre zurück.

der letzte in Relation stehende Beitrag war um 2005, da gings aber darum, dass das iTAN verfahren nicht sicher sei, wenn nicht über SSL gelöst.

naja ich denk da an einen "lauschangriff" bei dem der ISP den Traffic einfach auf einen anderen Port "spiegelt"

darf er (offiziell, wenn überhaupt) ohnehin nur per gerichtsbeschluss. Der ISP müsste in diesem Fall den gesamten Handshake-Ablauf mitsniffen - und dies würde auch maximal erlauben Daten zu lesen, jedoch nicht zu manipulieren. Ausserdem werden bei der Erstellung Hashes verwendet, auch diese sind relativ schwer zurückzurechnen - Aber da du in dieser hinsicht ohnehin eine paranoia zu haben scheinst... vertraue nichts und niemandem.

meine Frage ist konkret: ob der Key bei jedem Tunnelaufbau oder nur beim ersten übermittelt wird.

für jede Session wird ein eigener Key generiert - das wäre alles auf Wiki nachzulesen.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon martin » Mo 10 Mär, 2008 19:00

wicked_one hat geschrieben:Klingt nett, wird aber in der praxis nicht so funktionieren wie du dir das vorstellst


oh doch, mit verbindungen die neu aufgebaut werden funktioniert das sehrwohl.

nachdem das auf einer microsoft security veranstaltung auf großer leinwand von den MS jungs selbst vorgeführt wurde habe ich es auch selbst ausprobiert - natürlich mit einverständnis des gegenübers.

ich werde das programm mit welchem dies (relativ) einfach möglich ist hier nicht verlinken, bei interesse einfach pn an mich.
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Beitragvon wicked_one » Mo 10 Mär, 2008 19:04

nachdem das auf einer microsoft security veranstaltung auf großer leinwand von den MS jungs selbst vorgeführt wurde habe ich es auch selbst ausprobiert - natürlich mit einverständnis des gegenübers.

Ich hoffe halt, die MS Jungs haben auch die Lösung dafür angeboten...

verzeih die Frage, wann fand diese veranstaltung statt?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon martin » Mo 10 Mär, 2008 19:13

wicked_one hat geschrieben:Ich hoffe halt, die MS Jungs haben auch die Lösung dafür angeboten...

verzeih die Frage, wann fand diese veranstaltung statt?


eine wirklich simple lösung wie man das "abstellen" kann gibt es nicht, siehe http://de.wikipedia.org/wiki/ARP-Spoofing

wenn ich mich richtig erinnere waren das die microsoft big days 2004, die prozedur funktioniert aber nach wie vor.

wie zuvor erwähnt muss der user halt den zertifikatsfehler wegklicken, welche mit IE7 gott sei dank schon um einiges penetranter auf ein problem hinweisen als mit den vorigen versionen...
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Beitragvon wicked_one » Mo 10 Mär, 2008 19:25

wie zuvor erwähnt muss der user halt den zertifikatsfehler wegklicken, welche mit IE7 gott sei dank schon um einiges penetranter auf ein problem hinweisen als mit den vorigen versionen...

Nun, jede Methode hat ihre anfälligkeiten und die liebste schwäche ist der Mensch... nicht allzu alte Meldungen über Phishing Attacken zeigen dies wieder.

Das ARP-Spoofing einfachst zu bewerkstelligen ist, ist klar...

SSL ist so sicher gestaltet wie ich mir den Mechanismus nur vorstellen kann..., die Attacke auf SSL selbst wurde ja gefixt.
wie gesagt, die schwachstelle bleibt der Mensch.

wenn man wirklich der MITM ist, und den Client dazu bringt einem zu vertrauen (also wirklich gephisht wurde) - dann ist diese Prozedur logischerweise möglich.
Zuletzt geändert von wicked_one am Mo 10 Mär, 2008 19:35, insgesamt 1-mal geändert.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon ANOther » Mo 10 Mär, 2008 19:31

Ich hoffe halt, die MS Jungs haben auch die Lösung dafür angeboten...

nein, haben sie nicht, denn der grund liegt in schicht 8, 1 über dem MS-einflussbereich...
(pkt 3 in martins aufzählung)
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon wicked_one » Mo 10 Mär, 2008 19:48

nein, haben sie nicht, denn der grund liegt in schicht 8, 1 über dem MS-einflussbereich...
(pkt 3 in martins aufzählung)

Hab meine "Denkfehler" auch mittlerweile bemerkt, hatte immer nur SSL an sich betrachtet, und den Layer 8 ausser acht gelassen (schande über mich)
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon medice » Di 11 Mär, 2008 09:14

Zertifikat wegklicken is halt so eine Sache, denn solang bedeutende Seiten ihre Zertifikate in Unordnung halten wird der Anwender ja geradezu gedrillt das Wegklicken zu üben...
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon lordpeng » Di 11 Mär, 2008 11:57

>3. ein opfer, welches beim auftretenden zertifikatsfehler brav auf ja drückt
>nicht sonderlich schwer zu finden

ich hab den thread jetzt zwar nur überflogen, daher kanns vielleicht sein, dass ich am thema vorbei red ...

die simpelste methode derlei probleme zu vermeiden, wär per richtlinie keine abgelaufenen oder unsicheren zertifikate zu, dann wird $USER nämlich gar nie auf 'akzeptieren' klicken können ... btw. wird bei uns hier zumindest intern so gehandhabt
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Nächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast